Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Was ist das für eine Datei?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.05.2006, 16:13   #1
Poet68
 
Was ist das für eine Datei? - Standard

Was ist das für eine Datei?



Tach auch,

hier mal mein Log.

Die Datei die ich in Verdacht habe steht unter 04 msnservz.exe
Ich habe die Datei schon gelöscht, die Registryeinträge gelöscht. Systemwiederherstellung war natürlich aus. Nützt alles nichts, nach
einiger Zeit ist das Ding wieder da, die Einträge sind wieder da und meine
Firewall schreit los dass das Ding in I-Net will. Zusätzlich noch die FTP.exe, die scheinbar von dem Ding aufgerufen wird. Wenn ich mir die Datei im Texteditor anschaue steht am Ende was von PolyCryp PE, ich nehm mal an die Datei ist verschlüsselt. Virenchecker finden nichts. Wenn der Task läuft hängt sich das ganze System weg, surfen ist auch nicht mehr möglich. Irgend eine Idee?

MfG,

P.


Logfile of HijackThis v1.99.1
...

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/showpos...57&postcount=1

und einfach mal hier nachlesen, dann klappts auch mit der hilfe
http://www.trojaner-board.de/extra/impressum.html#NUB

danke
GUA
[/edit]

Alt 23.05.2006, 21:33   #2
BataAlexander
> MalwareDB
 
Was ist das für eine Datei? - Standard

Was ist das für eine Datei?



Hallo,

scanne die Dateien online bei virustotal.com und jotti ( beide in meiner Signatur verlinkt) und poste das Ergebnis hier.

Gruß

Schrulli
__________________

__________________

Alt 24.05.2006, 08:11   #3
Poet68
 
Was ist das für eine Datei? - Standard

Was ist das für eine Datei?



Moin,

also VirusTotal sagt folgendes:


Antivirus Version Update Result
AntiVir 6.34.1.32 05.24.2006 Heuristic/Crypted.Layered
Authentium 4.93.8 05.23.2006 no virus found
Avast 4.6.695.0 05.23.2006 no virus found
AVG 386 05.23.2006 no virus found
BitDefender 7.2 05.24.2006 no virus found
CAT-QuickHeal 8.00 05.23.2006 no virus found
ClamAV devel-20060426 05.24.2006 no virus found
DrWeb 4.33 05.23.2006 no virus found
eTrust-InoculateIT 23.72.16 05.23.2006 no virus found
eTrust-Vet 12.4.2224 05.23.2006 no virus found
Ewido 3.5 05.23.2006 no virus found
Fortinet 2.77.0.0 05.24.2006 suspicious
F-Prot 3.16c 05.23.2006 no virus found
Ikarus 0.2.65.0 05.23.2006 no virus found
Kaspersky 4.0.2.24 05.24.2006 no virus found
McAfee 4768 05.23.2006 no virus found
Microsoft 1.1440 05.22.2006 no virus found
NOD32v2 1.1554 05.24.2006 no virus found
Norman 5.90.17 05.23.2006 no virus found
Panda 9.0.0.4 05.23.2006 Suspicious file
Sophos 4.05.0 05.24.2006 no virus found
Symantec 8.0 05.24.2006 no virus found
TheHacker 5.9.8.147 05.24.2006 no virus found
UNA 1.83 05.22.2006 no virus found
VBA32 3.11.0 05.23.2006 no virus found

Aditional Information
File size: 105472 bytes
MD5: 6ef12def29adbb65ade9f6aa44f62710
SHA1: f1a1165ec73a452006d339e9a48d7ed2d5dfda9f


und Jotti dieses:


Datei: msnservz.exe
Status:
VIELLEICHT INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)

Entdeckte Packprogramme:

AntiVir Heuristic/Crypted.Layered gefunden (mögliche Variante)
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 keine Viren gefunden


Und? Was soll ich jetzt davon halten? Ich meine das Ding trägt sich in die Registry als "AdobReaderPro" ein. Es taucht nach dem löschen wieder auf. Ich habe mir jetzt erst mal so beholfen dass ich die CMD.exe umbenannt habe in "msnservz.exe", mit Schreibschutz versehen. Jetzt kriege ich beim hochfahren wenigstens nur ein Dosfenster...

MfG,

P.

Ich habe mein LOG mal bearbeitet, ich hoffe ich habe nichts übersehen:

Logfile of HijackThis v1.99.1
Scan saved at 09:42:07, on 24.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Corel\Corel Photo Album 6\MediaDetect.exe
C:\WINDOWS\system32\msnservz.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Dexpot\Dexpot.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\Hardcopy\hardcopy.exe
D:\totalcmd\TOTALCMD.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Programme\VMware\VMware Player\vmplayer.exe
C:\Programme\VMware\VMware Player\bin\vmware-vmx.exe
D:\Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*h**p://w*w.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\Programme\ATI Technologies\ATI.ACE\da\Help\wwhelp\wwhimpl\common\html\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\Programme\ATI Technologies\ATI.ACE\da\Help\wwhelp\wwhimpl\common\html\blank.htm
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Photo Album 6\MediaDetect.exe
O4 - HKLM\..\Run: [AdobReaderPro] msnservz.exe
O4 - HKLM\..\RunServices: [AdobReaderPro] msnservz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Dexpot 1.3] C:\Programme\Dexpot\Dexpot.exe
O4 - HKCU\..\Run: [AVKBar] "C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKBar.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135680221468
O17 - HKLM\System\CCS\Services\Tcpip\..\{5757BB81-2149-48B6-8483-81C7293769AC}: NameServer = 212.6.108.140 212.6.108.141
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: GEXLGG - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\***\LOKALE~1\Temp\GEXLGG.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IGEU - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\***\LOKALE~1\Temp\IGEU.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: RLLWPDVVIHC - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\***\LOKALE~1\Temp\RLLWPDVVIHC.exe
O23 - Service: RRGOPAJHAZ - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\***\LOKALE~1\Temp\RRGOPAJHAZ.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: VTVZHWRSHC - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\***\LOKALE~1\Temp\VTVZHWRSHC.exe
O23 - Service: ZMY - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\***\LOKALE~1\Temp\ZMY.exe
__________________

Geändert von Poet68 (24.05.2006 um 08:46 Uhr)

Alt 24.05.2006, 12:25   #4
raman
 
Was ist das für eine Datei? - Standard

Was ist das für eine Datei?



Das Ergebniss im HijackThis log und von Antivir zu der Datei sollte dich beunruhigen: Heuristic/Crypted.Layered bedeutet wohl, das die Datei mindestens 2 Mal mit einem Exepacker gepackt ist.

Im Zweifelsfalle die Datei an heuristik2@avira.com schicken.
Fast vergessen. Eine gute Anlaufstelle fuer diese Art von Dateien ist die Onlinesandbox von Norman. Einfach Emailadresse angeben, Datei hochladen und auf das Ergebniss warten(kann dauern): http://sandbox.norman.no/live_4.html
__________________
MfG Ralf

Geändert von raman (24.05.2006 um 13:00 Uhr)

Alt 26.05.2006, 08:24   #5
Poet68
 
Was ist das für eine Datei? - Standard

Was ist das für eine Datei?



Moin,

nachdem Google jetzt Treffer liefert werde ich mal an die Vernichtung gehen.

Danke und mfG, P.


Alt 26.05.2006, 08:44   #6
Rene-gad
 
Was ist das für eine Datei? - Standard

Was ist das für eine Datei?



Zitat:
Zitat von Poet68
nachdem Google jetzt Treffer liefert werde ich mal an die Vernichtung gehen.
IMHO kannst Du Dir die Mühe sparen und System ASAP neu aufsetzen: http://virusinfo.prevx.com/pxparall....C=e07921302255

Antwort

Themen zu Was ist das für eine Datei?
angezeigt, checker, datei, editiere, editor, einfach, ellung, gelöscht, hijack, hijackthis, hängt, i-net, irgend, links, natürlich, nicht mehr, nichts, schei, surfe, surfen, systemwiederherstellung, texteditor, träge, verdacht, zusätzlich



Ähnliche Themen: Was ist das für eine Datei?


  1. Was ist eine ADWARE.dll /BHO Datei
    Plagegeister aller Art und deren Bekämpfung - 15.09.2013 (3)
  2. Was ist das für eine Datei?
    Log-Analyse und Auswertung - 23.08.2012 (2)
  3. Was ist eine ECF442AB01C04AB4880DD1E1FSF44D8D-Datei?
    Alles rund um Windows - 22.07.2012 (4)
  4. Und noch eine Rechnung mit Datei!
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (13)
  5. BKA Trojaner - habe mit OTLpe txt Datei erstellt - benötige nun eine "FIX-Datei"?
    Log-Analyse und Auswertung - 11.10.2011 (1)
  6. Virus in eine Datei schmuggeln?
    Diskussionsforum - 24.09.2011 (2)
  7. Noch eine Metropolitan Police OTL.txt-Datei!
    Log-Analyse und Auswertung - 20.06.2011 (1)
  8. Kann eine .bat-Datei eine Passwort eingabe auf einer Webseite machen
    Alles rund um Windows - 24.03.2011 (5)
  9. Was tut eine CPL.Datei?
    Diskussionsforum - 03.02.2011 (2)
  10. Was ist eine Roundup Datei
    Plagegeister aller Art und deren Bekämpfung - 09.12.2010 (1)
  11. Wie brenne ich eine ISO-Datei auf CD / DVD?
    Anleitungen, FAQs & Links - 22.02.2010 (1)
  12. Ab wann ist eine Datei verseucht?
    Antiviren-, Firewall- und andere Schutzprogramme - 09.07.2009 (0)
  13. HJK-Log zeigt eine Schädliche Datei
    Log-Analyse und Auswertung - 06.05.2009 (0)
  14. Anitivir meldet eine Datei
    Plagegeister aller Art und deren Bekämpfung - 17.10.2007 (3)
  15. msnsrv.exe = so eine böse datei
    Log-Analyse und Auswertung - 02.03.2006 (10)
  16. brauche Hilfe eine Datei loszuwerden!
    Alles rund um Windows - 10.01.2006 (6)
  17. dsf-Datei in eine Bilddatei umwandeln?
    Alles rund um Windows - 16.09.2003 (5)

Zum Thema Was ist das für eine Datei? - Tach auch, hier mal mein Log. Die Datei die ich in Verdacht habe steht unter 04 msnservz.exe Ich habe die Datei schon gelöscht, die Registryeinträge gelöscht. Systemwiederherstellung war natürlich aus. - Was ist das für eine Datei?...
Archiv
Du betrachtest: Was ist das für eine Datei? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.